Брзе везе
- Предуслови
- Како да искористите било који Самсунг Галаки уређај да бисте добили приступ системској љусци
- Верификација
- Закључак
Првог понедељка у месецу, Гоогле објављује Андроид безбедносни билтен. Открива све смањене безбедносне пропусте у различитим компонентама Андроид ОС-а као као и Линук кернел и њихове закрпе које је сам Гугл доставио или друге треће стране за то датум. Велики произвођачи оригиналне опреме као што је Самсунг имају своје мишљење о Андроиду, тако да се одлучују да своје закрпе и ажурирања уметну иу безбедносна ажурирања.
Уз то, прилично је тешко водити рачуна о свакој рупи. Постоји мноштво вектора напада, а понекад можете креирати сопствени ланац експлоатације заснован на томе раније познату рањивост само зато што имате нови метод да заобиђете једну од заштитне мере. То је управо оно што је старији члан КСДА К0мраид3 урадио са рањивошћу старом четири године, која му је омогућила да добије приступ системској љусци на сваком Самсунг Галаки уређају - укључујући и најновије водећи - тамо. Док то није исто као
имају роот привилегије, то је довољно висока локална ескалација привилегија.Примарна улазна тачка рањивости лежи у Самсунг Тект-То-Спеецх (назив пакета: цом.самсунг. СМТ), унапред инсталирана системска апликација која се може наћи на сваком Самсунг Галаки уређају. Идеја је да се инсталирана верзија апликације смањи на одређену рањиву верзију (в3.0.02.2 да будемо прецизни), а затим га присилите да учита библиотеку, што заузврат отвара љуску са системским привилегијама (УИД 1000).
Ако желите да сазнате више о експлоатацији, обавезно погледајте Објашњење главног техничког уредника КСДА Адама Конвеја. Разговарао је са К0мраид3 како би схватио пуни обим овог експлоатације и како он функционише.
- Да поновим, ово није роот приступ (УИД 0), али приступ системској љусци је довољно моћан да изврши гомилу иначе ограничених бинарних датотека.
- Доказ концепта К0мраид3 захтева помоћни АПК и потребно је да га покренете бар једном пре него што покренете ланац експлоатације.
- Једно корисничко сучеље, тј. рутине за уштеду енергије уграђене у Самсунгову прилагођену Андроид кожу могу бити проблематичне, јер могу ометати комуникацију између ТТС апликације, помоћног АПК-а и љуске. Стога предлажемо да претходно поставите профил за уштеду енергије на „Неограничено“ за апликације.
Предуслови
- Преузмите унапред компајлирану верзију експлоатације са Нит КСДА форума или званично ГитХуб спремиште повезано испод: К0мраид3с Систем Схелл Екплоит
- Извуците архиву негде и требало би да пронађете рањиву верзију Самсунг Тект-То-Спеецх АПК-а (самсунгТТСВУЛН2.апк), помоћна апликација (Комраид3с_ПОЦ_Вк.к.апк) и Виндовс извршна датотека под називом системхелл-вк.к.еке.
- Уверите се да је најновија верзија АДБ је инсталиран на вашем ПЦ/Мац/Цхромебоок-у. Такође, запамтите да инсталирајте/ажурирајте Самсунг УСБ драјвере ако сте корисник Виндовс-а.
Како да искористите било који Самсунг Галаки уређај да бисте добили приступ системској љусци
Ручна метода
- Повежите циљни Галаки уређај са рачунаром са укљученим УСБ отклањањем грешака, уверите се да га АДБ може открити, а затим инсталирајте помоћну апликацију.
adb install Komraid3s_POC_Vx.x.apk
- Као што је раније поменуто, отворите помоћну апликацију барем једном пре него што пређете на следећи корак.
- Сада гурните рањиву верзију Самсунг ТТС апликације у /дата/лоцал/тмп и промените њене дозволе:
adb push samsungTTSVULN2.apk /data/local/tmp
adb shell chmod 777 /data/local/tmp/samsungTTSVULN2.apk
- Поново покрените уређај. Чим сте на почетном екрану, покрените следећу команду да замените већ инсталирану верзију апликације Самсунг ТТС рањивом:
adb shell pm install -r -d -f -g --full --install-reason 3 --enable-rollback /data/local/tmp/samsungTTSVULN2.apk
- Ако све прође како треба, требало би да видите поруку „Успех“ на конзоли.
- Отворите љуску на циљном уређају тако што ћете отворити други прозор терминала и извршити адб схелл, затим извршите Нетцат бинарни фајл и ослушкујте долазну везу на порту 9997 помоћу следеће команде:
adb shell nc -lp 9997
- У овој фази треба да извршимо одређену активност Самсунг ТТС апликације, која ће нам отворити системску шкољку.
- Користите апликацију треће стране као што је ово да бисте креирали пречицу за „цом.самсунг. СМТ/.гуи. ДовнлоадЛист” активност.
- Такође можете да користите Андроидов сопствени менаџер активности (ам) да урадите исто. У том случају, можете га извршити преко АДБ-а (адб схелл ам старт -н цом.самсунг. СМТ/.гуи. ДовнлоадЛист) или користите апликацију за емулатор терминала на свом телефону/таблету као што је Термук и покрените следећу команду:
am start -n com.samsung.SMT/.gui.DownloadList
- Вратите се на прву љуску и требало би да видите нову промпт са системским (УИД 1000) привилегијама.
Аутоматизована метода
Да би ствари биле лакше, К0мраид3 такође пружа ГУИ апликацију лаку за коришћење за аутоматизацију већине задатака. Имајте на уму да је ГУИ апликација само за Виндовс, па ако сте корисник Линук/мацОС-а, боље је да се држите ручног метода.
- Повежите циљни Галаки уређај са рачунаром са укљученим УСБ отклањањем грешака, уверите се да га АДБ може открити, а затим инсталирајте помоћну апликацију.
adb install Komraid3s_POC_Vx.x.apk
- Као што је раније поменуто, отворите помоћну апликацију барем једном пре него што пређете на следећи корак.
- Са циљним уређајем који може да открије АДБ, покрените системхелл-вк.к.еке на главном рачунару.
- Кликните на дугме "СТАРТ СХЕЛЛ". Апликација ће аутоматски вратити Самсунг ТТС апликацију и покушати да отвори системску шкољку.
- На вашем телефону/таблету можете видети апликацију ТТС која од вас тражи да преузмете неке гласовне податке. Нема потребе за интеракцијом са тим опцијама, јер оне немају никакве везе са експлоатацијом.
- У случају да апликација виси или не успе да отвори прозор љуске после неког времена, затворите је, поново покрените циљни Галаки уређај и почните изнова.
- Апликација Галаки Сторе може аутоматски да ажурира и/или ресетује профил за уштеду енергије ТТС апликације у позадини, па проверите то пре него што започнете процес од нуле.
Верификација
Када добијете приступ љусци, можете да проверите ниво привилегија користећи једну од наредби у наставку:
-
whoami
- Излаз би требао бити „системски“
-
id -u
- Излаз би требао бити "1000"
Закључак
Типичан начин да се постигне роот приступ на Андроид уређају је да прво откључате покретач, који вам омогућава да покренете бинарне датотеке треће стране. Пошто се Андроид-ов безбедносни модел у основи распада са роот-ом, овај корак намерно онемогућава једну од кључних безбедносних функција на уређају, која због чега корисник мора изричито да дозволи да се то деси тако што ће типично омогућити прекидач у опцијама за програмере, а затим издати команду за откључавање боотлоадер. Једном када се покретачки програм откључа, корисник може да уведе бинарну верзију суперкорисника у систем, као и апликацију за управљање суперкорисницима (као што је Магиск) да контролише који процеси имају приступ роот-у.
Међутим, са коришћењем системске љуске који је горе поменут, корисник не мора да откључа покретач да би добио проширену привилегију. Иако је далеко од роот-а, „системски“ корисник је довољно способан да приступи великом броју партиција ниског нивоа (као што је као /ефс), покрените разне сервисне алате и алате за отклањање грешака и промените многе заштићене вредности пропа — све то чак и без окидања Кнок. Ови примери се дотичу само неколико начина; злонамерни актер може да комбинује ово са другим рањивостима и смисли још подлијих радњи.
Мораћемо да сачекамо и видимо како ће се Гоогле и Самсунг ухватити у коштац са овим сценаријем. У сваком случају, вероватно би требало да онемогућите или уклоните апликацију Самсунг Тект-То-Спеецх за сада.